Стандарты ITIL, MOF, ITSM, COBIT

В данной статье использовались материалы: ITIL(Information Technology Infrastructure Library); MOF (Microsoft Operations Framework); ITSM HP Reference Model;  ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).

Введение

В большинстве случаев успешность телекоммуникационного бизнеса зависит от использования информационных технологий для поддержки ключевых бизнес-процессов компании. Сейчас ИТ – подразделение телекоммуникационной компании становится партнером бизнеса и вместе с производственными подразделениями организации формирует добавочное качество, тогда как раньше ИТ — подразделение только предоставляло в пользование элементы ИТ – инфраструктуры. Однако, необходимо четко обосновывать перед производственными подразделениями направления развития информационных технологий в компании и преимущества выбранных ИТ–решений.

От используемых информационных технологий и качества их сопровождения зависит оказание услуг внешним пользователям, что напрямую влияет на конкурентоспособность компании, и все это повышает требования к эффективности ИТ – подразделения. Задача повышения эффективности информационных технологий уже решалась не раз и наиболее эффективные результаты сведены в стандартах и библиотеках в области информационных технологий. Использование данных стандартов позволяет «не придумывать велосипед», а взять наиболее совершенное решение и привести его в соответствие со своей ситуацией.

ITIL

Стандарты в области информационных технологий

Если говорить о существующих стандартах библиотеках, то наиболее известными являются следующие:

ITIL (Information Technology Infrastructure Library)

предлагает другой взгляд на деятельность ИТ- подразделения которое становится таким же формирующим прибавочное качество подразделением, как и остальные подразделения организации. Причем ИТ- подразделение теперь не предоставляет в пользование оборудование, а предоставляет ИТ- услуги, необходимые для конечных пользователей, которых в таком контексте предпочтительнее именовать «потребителями услуг». Можно сказать, что предоставляемое оборудование «обертывается» услугами по его поддержке и предоставлению. Переход на термин ИТ- услуги требует перехода от отношений владелец-пользователь оборудования (приложений) к отношениям покупатель-продавец ИТ- услуг, что в свою очередь требует выработки способов измерения качества предоставляемых услуг. Помимо этого вводится понятие стоимости услуги, что фактически выводит ИТ- подразделение на финансовое взаимодействие между ИТ- подразделением и бизнесом.

Фактически библиотека ITIL предлагает построение процессной модели для управления ИТ- подразделением, результатом деятельности которого являются ИТ- услуги для бизнеса с прозрачной стоимостью, качество которых гарантируется путем организации непрерывного контроля. Библиотека ITIL содержит лучший мировой опыт по построению единой комплексной системы управления ИТ- подразделением, который возможно применять к конкретной ситуации. Поскольку библиотека является свободно распространяемой, то она является наиболее применяемым сегодня подходом к управлению ИТ- услугами, который применим ко всем секторам и организациями любого размера. ITIL может быть внедрен как полностью, так и частично, и фактически, это некоторая система взглядов на управление информационными технологиями в компании. Владельцем проекта ITIL в настоящее время является OGC/CCTA (Офис правительственной коммерции / Центральное агентство по компьютерам и телекоммуникациям). Обобщение опыта управления ИТ на протяжении 20 лет под эгидой правительства Великобритании сделало книги ITIL по всем основным областям управления ИТ стандартом «де-факто».

COBIT (Control Objectives for Information and related Technology)

– стандарт управления и аудита в области информационных технологий. Основой стандарта COBIT являются 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация, Проектирование и Внедрение, Эксплуатация и Сопровождение, Мониторинг. Особенностью стандарта COBIT по отношению к другим стандартам в области ИТ является присутствие в нем модели зрелости разработанной в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute’s). Maturity Models (MM) – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям. Однако данная модель зрелости вводит понятие нескольких уровней зрелости процессов:

  • Не существует. Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом;
  • Начало. Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений;
  • Повторение. Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ;
  • Описание. Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Процедуры стандартизованы и документированы;
  • Управление. Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Четко распределена ответственность, установлен уровень владения процессами;
  • Оптимизация. В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики».

Использование механизма оценки уровней зрелости и целей контроля, делает данный стандарт более высокоуровневым, хотя в нем содержится множество полезной информации для организации процессов ИТ. Данай стандарт наиболее эффективно использовать для определения целей в области ИТ, построения системы сбалансированных показателей (BSC) для ИТ- подразделения и проведения внутренних и внешних аудитов в области информационных технологий, помимо этого, на основании результатов аттестации процессов по уровням зрелости возможно сформировать мероприятия по совершенствованию процессов.

MOF (Microsoft Operations Framework)

— Управление информационными технологиями эта тема, в которой компания Microsoft имеет свое видение. Система стандартов Microsoft Enterprise Services от компании Microsoft представляет собой три области:

  • Первой областью является деятельность по подготовке к внедрению информационной системы где формализуются требования к ИТ и определяется объем проекта. Подготовка к внедрению информационной системы описана в стандарте Microsoft Readiness Framework (MRF);
  • Второй областью является деятельность по внедрению информационной системы на предприятии, где определяются основные вопросы разработки и развертывания ИТ- решения. Построение и внедрение информационной системы описано в стандарте Microsoft Solutions Framework (MSF);
  • Третьей областью является деятельность по поддержке информационной системы внедренной на предприятии. Вопросы эксплуатации информационной системы рассматриваются в стандарте Microsoft Operations Framework (MOF).

MOF состоит из набора статей (white papers), руководств (operations guides), обучающих курсов и включает в себя три основные модели:

  • Модель процессов (MOF Process Model); o Модель команды (MOF Team Model);
  • Модель управления рисками (MOF Risk Model).

Общая похожесть данного стандарта на ITIL и ориентация на продукты Microsoft делает данный стандарт менее используемым, относительно ITIL.   Однако для пользователей технологий Microsoft использование данного стандарта оправдано, хотя нужно понимать, что большинство процессов в MOF перешло из библиотеки ITIL.

ITSM HP Reference Model

– это корпоративная модель, которая была разработана компанией HP на основе и в полном соответствии с библиотекой ITIL. Фактически данная модель является переработкой ITIL с учетом зрения компании HP и перечень процессов в обеих моделях одинаковый.

ITPM (IT Process Model)

– это стандарт, который был предложен компанией IBM в конце 70-х годов прошлого века для решения задач управления компьютерными системами. Была создана архитектура ISMA (Information Systems Management Architecture) и концепция (IT Process Model), возникшая из ISMA и принятая к использованию компанией IBM. Данный подход отличается от ITIL не только по способу деления процессов, но и в ряде терминологических моментов. Фактически IT Process Model — это 41 процесс, собранный в восемь групп по числу основных факторов, влияющих на успех ИТ- проектов:

  • Взаимодействие с клиентами;
  • Обеспечение управленческих систем корпоративной информацией;
  • Управление ИТ с точки зрения бизнеса;
  • Подготовка решений;
  • Развертывание решений;
  • Предоставление услуг и управление изменениями;
  • Поддержка ИТ-услуг и решений;
  • Управление ИТ-ресурсами и инфраструктурой.

Однако, если говорить о практике использования данной модели в России, то она используется достаточно редко. ISO 20000 – один из новых стандартов в области менеджмента качества, который вобрал в себя с незначительными изменениями большинство основных принципов и процессов ITIL. В настоящий момент времени производится сертификация ИТ – подразделений на соответствие сервис -ориентированному и процессному подходу в области управления ИТ с использованием данного стандарта.

Дополнительная информация об IT4IT — Reference Architecture от Open Group.

Библиотека ITIL

Библиотека передового опыта в области ИТ включает в себя множество книг в которых содержится информация: о роли ИТ для современного бизнеса; об организации взаимодействия с клиентами, планировании, организации и контроле сервисов; опыте в вопросах управления; управлении качеством; о поддержке и предоставлении сервисов; вопросы лицензирования и обеспечения функционирования ПО и все аспекты ежедневного оперативного функционирования оборудования и технологий.

Библиотека ITIL вводит понятие услуга/сервис ИТ под которым подразумевается решение определенной задачи в рамках бизнес-процессов или проектов организации средствами информационных технологий. Все услуги собираются в каталог услуг/сервисов ИТ и для каждой услуги определяются параметры услуг, такие как согласованное время обслуживания, доступность, надежность, конфиденциальность и др. Все услуги и их параметры фиксируются в Соглашениях об уровне услуг (SLA). Одним из основополагающих процессов ITIL является процесс предоставления сервисов (Service Delivery) в рамках которого определены следующие процессы:

  • Управление уровнем сервиса (Service Management) – достижение ясных соглашений с Заказчиком об ИТ-услугах и реализация этих соглашений;
  • Управление затратами (Cost Management) – определение, отнесение расходов, их прогноз и отслеживание;
  • Управление мощностями (Capacity Management) – оптимизация расходов, времени приобретения и размещения ИТ-ресурсов;
  • Управление доступностью (Availability Management) – оптимизация обслуживания и минимизация числа инцидентов;
  • Управление непрерывностью (Continuity Management) – подготовка и планирование способов устранения чрезвычайных ситуаций;
  • Управление безопасностью (Security Management) – обеспечение режима информационной безопасности.

Другим основополагающим процессом ITIL является процесс поддержки сервисов (Service Support) в рамках которого определены следующие процессы:

  • Взаимодействие с пользователями (Service Desk) – точка контакта пользователя с ИТ – организацией;
  • Управление инцидентами (Help Desk/ Incedent Management) –устранение инцидента и быстрое возобновление предоставления услуг;
  • Управление проблемами (Problem Management) – предупреждение и устранение корневых проблем инцидентов;
  • Управление конфигурациями (Configuration Management) – контроль изменяющейся ИТ-инфраструктуры;
  • Управления изменениями (Change Management) – контроль проведения изменений в ИТ-инфраструктуре;
  • Управление релизами (Software Control & Distribution) – обеспечение успешного развертывания релизов, включая интеграцию, проведение тестирования и хранения.

Если сравнивать между собой ITIL и COBIT, то ITIL наиболее полезен в части организации предоставления ИТ- услуг и разработки детальных процессов, а COBIT специализируется на высокоуровневом управлении ИТ и аудите ИТ. COBIT представляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Тогда как методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения проектирования логики процессов и механизмов их оценки. Преимущества использования ITIL заключаются в следующем:

  • Изменяется роль ИТ, которые сейчас являются ключевым двигателем изменений и улучшений бизнес-процессов;
  • Предоставление ИТ- услуг становится более ориентированным на бизнес- подразделения;
  • Формируется основа для контроля качества и стоимости услуг;
  • Становится понятной процессная модель и структура ИТ- департамента;
  • Эффективная структура процессов создает основу для аутсорсинга ИТ- услуг;
  • Следование передовому опыту ITIL способствует изменению корпоративной культуры в направлении осознания, что задачей ИТ- департамента является предоставление услуг;
  • Библиотека ITIL предоставляет единую систему понятий для взаимодействия, как в компании, так и с поставщиками услуг;
  • Осуществляется переход к рыночным отношениям бизнеса и ИТ;
  • Внедряется процессный подход, обеспечивающий повышение эффективности и дополняющий функциональное управление;
  • Внедряется упреждающий (плановый) подход к управлению ИТ в дополнение к традиционному реагирующему (пожарному);
  • Формируется основа для расчета затрат в разрезе ИТ- услуг;
  • Внедряется управление знаниями в области ИТ, включая базу данных известных ошибок, информацию об ИТ- инфраструктуре.

Стандарт MOF

Если сравнивать объем библиотеки ITIL c моделью процессов MOF, то модель MOF является некоторым расширением процессов, описанных в книгах «Предоставление ИТ-услуг» и «Поддержка ИТ-услуг» библиотеки ITIL. Фактически модель MOF Process Model представляет процессы управления обслуживанием информационных систем, которые представлены в виде функций управления услугами (Service Management Functions, SMF).

Вся модель MOF содержит в себе 20 сервисных функций разбитых на четыре квадранта:

  • Изменение (Changing) — Внедрение изменений процессов, новых решений и технологий;
  • Обслуживание (Operating) – Обеспечение выполнения каждодневных рутинных операций;
  • Поддержка (Supporting) – Обеспечение скорейшего решения инцидентов, проблем, запросов;
  • Оптимизация (Optimizing) — Оптимизация стоимости, производительности, доступности ИТ- услуг.

В рамках данных четырех квадрантов распределяются все 20 сервисных функций.

В квадранте «Изменение» собраны три следующих сервисных функции:

  • Управление изменениями (Change Management). Планирование и регистрация всех требуемых изменений в информационной системе, оценка влияния, оказываемого этими изменениями, на другие компоненты информационной системы;
  • Управление релизами (Release Management).   Контроль над релизами и процессом их развертывания должен гарантировать, что все релизы хорошо спланированы и протестированы;
  • Управление конфигурациями (Configuration Management). Регистрация и контроль сведений о конфигурационных элементах ИТ-инфраструктуры включает в себя процесс сбора информации обо всех конфигурационных элементах системы в единую базу данных и процессы аудита соответствия информации текущей ситуации.

В квадранте «Поддержка» собраны три следующих сервисных функции:

  • ServiceDesk. Организация первой линии поддержки, регистрация обращений пользователей, запросов на информацию и запросов на изменения;
  • Управление инцидентами (Incident Management). Управление процессом разрешения инцидентов и обеспечение скорейшего восстановления нормальной работы услуги;
  • Управление проблемами (Problem Management). Обеспечение бесперебойной работы всех служб информационной системы путем анализа корневых причин появления инцидентов.

В квадранте «Оптимизация» собраны шесть следующих сервисных функций:

  • Управление уровнем обслуживания (Service Level Management).   Управление качеством ИТ- услуг путем определения и контроля параметров соглашения об уровне услуг (Service Level Agreement, SLA) между поставщиком и заказчиками;
  • Управление финансами (Financial Management). Определение, оптимизация и контроль стоимости ИТ- услуг, что включает планирование и составление бюджетов, анализ стоимости услуг, а также мероприятия по оптимизации затрат на ИТ и оценке необходимости инвестиций;
  • Управление непрерывностью услуг (Service Continuity Management). Восстановление ИТ- инфраструктуры в случае непредвиденных ситуаций. Включает разработку плана быстрого восстановления критически важных для бизнеса систем;
  • Управление мощностями (Capacity Management). Контроль и обеспечение необходимой производительности ИТ- ресурсов в соответствии с определенным уровнем обслуживания в SLA;
  • Управление доступностью (Availability Management). Управление доступностью информации и услуг с точки зрения использования имеющихся мощностей;
  • Управление персоналом (Workforce Management). Выработка рекомендаций по набору, сохранению и мотивированию ИТ- персонала.

В квадранте «Обслуживание» собраны 8 следующих функций:

  • Планирование работ (Job Scheduling). Организация процесса выполнения работ наиболее эффективным образом для выполнения требований соглашения об уровне услуг;
  • Системное администрирование (System Administration). Выполнение ежедневных операций по администрированию информационной системы;
  • Сетевое администрирование (Network Administration).   Обеспечение бесперебойной работы сетевой инфраструктуры;
  • Администрирование системы безопасности (Security Administration). Обеспечение безопасности информационной системы, определение и контроль параметров защиты корпоративной информации и ИТ- услуг;
  • Администрирование служб каталога (Directory Services Administration). Обслуживание и поддержка корпоративной службы каталога;
  • Управление хранением данных (Storage Management). Разработка плана архивации/восстановления данных, контроль над системами хранения;
  • Мониторинг услуг (Service Monitoring and Control). Получение обслуживающим персоналом актуальной информации о состоянии ИТ- услуг. Наиболее типичными объектами мониторинга являются: состояние процессов, статусы запланированных заданий, параметры очередей, загрузка серверов, время отклика приложений;
  • Управление результатами (Print and Output Management). Контроль над процессом печати данных и данными, предоставляемыми в отчетах.

Если сравнивать объем стандарта MOF с процессами ITIL по предоставлению и поддержке услуг, то видно, что MOF несколько шире, однако расширение связано с некоторой детализацией квадранта «Обслуживание», что с одной стороны дает определенную информацию, но с другой стороны данная деятельность присутствует в большинстве ИТ- служб и расширение модели в данном направлении не вносит большой новизны. Добавление сервисной функции Управление персоналом не несет специфических знаний для организации ИТ в компании и является вспомогательным процессом, который присутствует в любой компании и логика выполнения которого предельно понятна. В остальном, процессы ITIL и MOF полностью идентичны, включая одинаковые наименования и описания.

Однако, стандарт MOF помимо процессной модели содержит ролевую структуру для распределения полномочий и ответственности между сотрудниками ИТ — модель команды (MOF Team Model). Причем модель команды не предназначена для описания трудовых обязанностей и не является организационной схемой.
В модели команды MOF описаны шесть ролей, сгруппированных по жизненному циклу ИТ- услуги.   Фактически данные роли являются некоторыми направлениями деятельности:

  • Релиз (Release) — Планирование и выполнение изменений;
  • Поддержка (Supporting) — Поддержка пользователей;
  • Безопасность (Security) — Контроль над корпоративной политикой безопасности;
  • Инфраструктура (Infrastructure) — Управление средствами работы с инфраструктурой;
  • Обслуживание (Operations) — Выполнение ежедневных операций по обслуживанию ИС;
  • Партнерство (Partner) — Установление взаимоотношений с бизнесом.

Модель команды содержит слишком общее определение ролей, которое будет невозможно использовать при инжиниринге детальных процессов и поэтому, одним из вариантов использования модели команды может быть распределение в соответствии с приведенными ролями ответственности за сервис- функции, т.е. фактически назначение владельцев процессов.

Помимо модели команды стандарт MOF содержит в себе модель управления рисками (MOF Risk Model), которая определяет основные этапы управления рисками:

  • Идентификация рисков (Identify). Определение причин риска, условий его возникновения, последствий;
  • Анализ рисков (Analyze). Оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
  • Планирование мероприятий (Plan). Определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние.   Также на тут разрабатывается план действий в случае возникновения риска
  • Отслеживание риска (Track). Сбор информации об изменениях с течением времени различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
  • Контроль (Control). Выполнение запланированных действий в качестве реакции на возникновение рискового события. Фактически данные этапы управления рисками связываются в жизненный цикл управления рисками от идентификации до непрерывного контроля.

Однако если рассмотреть модель управления рисками в отрыве от стандарта ITIL и MOF, то можно увидеть неглубокое представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II – подробнее описывает вопросы организации системы управления рисками в компании. Поэтому для развертывания системы управления рисками более эффективно использовать другие методики, содержащие более полную информацию. По причине схожести методологии ITIL и MOF преимущества от использования данных моделей фактически идентичны.

Вывод

В результате сравнения ITIL и MOF мы увидели, что MOF обладает рядом существенных особенностей по сравнению со стандартом ITIL, однако если рассмотреть данные особенности, то они не носят ключевого характера: o Процессы, не включенные в ITIL, являются интуитивно понятными и принятыми в оперативной деятельности; o Модель процессов дополнена моделями команды и управления рисками, но применение данных моделей осложнено из-за слабой их детализации; o В противовес документам чисто описательного характера, свойственным ITIL, в MOF предоставлены прикладные материалы, такие как документы серий Windows Operations Guide, Exchange Operations Guide и т.д.   Однако данные документы имеют привязку к определенной операционной системе и в принципе не относятся к организации процессов. Если делать вывод о применимости рассмотренных стандартов в области ИТ для оптимизации деятельности, то можно с уверенностью сказать что все они содержат «зерно истины», поэтому применение их в совокупности наиболее предпочтительно, поскольку в определенных областях они имеют новшества относительно друг друга.

В данной статье использовались материалы: MOF (Microsoft Operations Framework); ITSM HP Reference Model;  ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).